Мы облегчаем клиентам перенос приложений в облако, сохраняя ту же модель безопасности, которая использует службу проверки подлинности Azure Active Directory Domain Services (Azure AD DS) для файлов Azure. С ее помощью вы можете создать общий файловый ресурс Azure через SMB, используя учетные данные Azure Active Directory (Azure AD) из виртуальных машин Windows, которые присоединены к домену Azure AD DS.
Проверка подлинности AD DS для Azure Files дает возможность пользователям контролировать доступ к общим папкам и файлам с рядом дополнительных параметров:
- Служба позволяет разблокировать распространенные сценарии использования, такие как сценарий с одной записью и несколькими читателями для ваших бизнес-приложений.
- Поскольку разрешение назначения и применения прав доступа к файлам совпадает с таковым в NTFS, перенести ваше приложение в Azure так же просто, как переместить его на новый файловый сервер SMB. Это также делает Azure Files идеальным решением для общего хранилища в облачных сервисах. Например, Windows Virtual Desktop рекомендует использовать файлы Azure для размещения различных пользовательских профилей и применять проверку подлинности Azure AD DS для контроля доступа.
- Поскольку в файлах Azure строго соблюдаются списки дискреционного контроля доступа NTFS (DACL), вы можете использовать знакомые инструменты, такие как Robocopy, для перемещения данных в общий файловый ресурс Azure. При этом сохраняются все важные элементы управления безопасностью.
Списки контроля доступа к файлам Azure также «скриншотятся» для исполнения сценариев резервного копирования и аварийного восстановления. Это обеспечивает сохранение списков контроля доступа к файлам при восстановлении данных посредством таких служб, как Azure Backup, использующих моментальные скриншоты.
Что нового в общей доступности?
На основании отзывов после запуска сервиса в тестовом режиме было добавлено несколько новых функций.
Полная интеграция с Windows File Explorer при назначении разрешений. Когда мы продемонстрировали эту функцию на Microsoft Ignite 2018, разработчики показали, как можно изменять и просматривать разрешения с помощью инструмента командной строки Windows под названием Icacls. Очевидно, что возникли некоторые проблемы, поскольку он не особо легок в использовании для заурядного пользователя. Благодаря общему доступу вы можете просматривать или изменять разрешения для файла или папки с помощью проводника Windows, по аналогии со стандартными папками, содержащими файлы.
Новые интегрированные элементы контроля доступа на основе ролей. Чтобы упростить процесс, мы создали три новых интегрированных сервиса: Storage File Data SMB Share Elevated Contributor, Contributor, и Reader. Вместо создания пользовательских ролей вы можете воспользоваться имеющимися, чтобы давать разрешения на общем уровне для обеспечения доступа SMB к файлам Azure.
Что еще для контроля доступа к файлам Azure появится в будущем?
Поддержка аутентификации при помощи доменных служб Azure Active Directory наиболее полезна для сценариев захвата и переноса приложений. Однако Azure Files может помочь с перемещением во всех локальных файловых ресурсах, независимо от того, предоставляют ли они хранилище для приложений или же для пользователей. Команда разработчиков работает над расширением поддержки аутентификации для Windows Server Active Directory, размещенной локально или в облаке. Если вам срочно нужно решение Azure Files с аутентификацией Windows Server AD, вы можете рассмотреть возможность использования Azure File Sync на файловых серверах Windows с полной поддержкой интеграции Windows Server AD.